„Laterale Netzwerkbewegung“ ist im Cyber-Crime-Kontext mittlerweile kein unbekannter Begriff mehr. So ungefährlich sie im ersten Moment auch klingt, dahinter verbirgt sich eine sehr hinterlistige Angriffstaktik, mit deren Hilfe Angreifer Unternehmensnetzwerke infiltrieren.
Die Kurzfassung: Auf der Suche nach geschäftskritischen und personenbezogenen Informationen bewegen sich Cyber-Kriminelle unbemerkt seitlich durch ein Netzwerk, nachdem sie sich Zugang zu diesem verschaffen konnten. Viele von ihnen verbringen dort sogar mehrere Monate – ohne, dass ihre Tarnung auffliegt – und warten auf den perfekten Moment, um zuzuschlagen.
Doch hinter dieser knackigen Definition steckt weit mehr. Es ist wichtig, dass Unternehmen das Konzept der lateralen Netzwerkbewegung verstehen, damit sie effizient dagegen vorgehen können. Was IT-Entscheider wissen müssen und welche Geschütze sie auffahren können, verrät Andreas Junck, Senior Sales Director DACH bei Gigamon.
1. Wie funktioniert laterale Netzwerkbewegung genau?
Im Grunde besteht der Prozess der lateralen Netzwerkbewegung aus drei Phasen.
Phase 1: Ausspähen
Zunächst betreiben Cyber-Angreifer Aufklärungsarbeit. Sie versuchen, sich mit dem Aufbau des Netzwerks und seinen Schwachstellen vertraut zu machen. Im Zuge dessen identifizieren sie für ihr Ziel interessante Punkte im Netzwerk. Die Mittel, die Angreifer in dieser Phase anwenden, reichen von einfachen Internetrecherchen über Social-Engineering-Aktionen bis hin zum Scannen von Netzwerk-Ports.
Phase 2: Ausbreiten
Haben es die Angreifer einmal ins Netzwerk geschafft, geht es im nächsten Schritt vornehmlich darum, Login-Daten und Netzwerkprivilegien anzuhäufen, mit denen sie sich ungehindert lateral durch das Netzwerk bewegen können. Das schließt eben auch Bereiche ein, zu denen der durchschnittliche Angestellte normalerweise keinen Zutritt hat.
Phase 3: Ausbeuten
Diebstahl wertvoller Daten, Malware und Ransomware, Systemstörungen und Ausfälle: Sobald Angreifer alle wichtigen Login-Daten und Privilegien beisammenhaben, stehen ihnen beinahe alle Netzwerktüren offen. Dabei geht es nicht immer ausschließlich um den Zugang selbst, sondern diesen auch so lange wie möglich aufrechtzuerhalten – selbst, nachdem die ursprüngliche Schwachstelle gefunden und geschlossen wurde. Natürlich scheuen Angreifer nicht davor zurück, sich eigene Fluchtwege zu schaffen und ihre Spuren in den System-Logs zu verwischen.
2. Bei welchen Angriffsarten kommt sie zum Einsatz?
Laterale Netzwerkbewegung spielt in mehreren verschiedenen Angriffsarten eine Rolle. Allerdings existieren vier Formen, die stärker von dieser Taktik abhängig sind als andere.
Angreifern, die ein Unternehmen mit Ransomware infizieren wollen, verhilft sie zu maximaler Wirkungskraft. Auf diese Weise können sie sich durch das Netzwerk bewegen, um so viele Systeme wie möglich zu verschlüsseln und im Zuge dessen ein höheres Lösegeld verlangen zu können. Bei der Datenexfiltration geht es hingegen darum, viele sensible Daten von einem kompromittierten Netzwerk auf das eigene zu übertragen. Dafür müssen sie unbemerkt in die eingeschränkten Bereiche gelangen, wo sich das begehrte Gut befindet. Diesen Zweck erfüllt die laterale Netzwerkbewegung auch im Spionage-Kontext. Allerdings ist hier das Ziel, unauffällig geschäftskritische und vertrauliche Informationen zutage zu fördern und möglicherweise an Auftraggeber zu schicken. Bei diesen handelt es sich nicht selten um staatliche Institutionen oder die Konkurrenz. Sobald Angreifer in ein System eingedrungen sind, erlaubt es ihnen die laterale Netzwerkbewegung, alle weiteren Systeme, die an das Netzwerk angebunden sind, unter ihre Kontrolle zu bringen. Oftmals resultiert dieses Vorgehen in einer Botnet-Armee, mit denen Angreifer entweder ihre Reichweite für Malware-Infizierungen vergrößern oder DDoS-Attacken (Distributed Denial of Service) durchführen können.
3. Wie Sie laterale Netzwerkbewegung enttarnen und sich schützen
Auch bei der lateralen Netzwerkbewegung ist Vorsicht besser als Nachsicht. Zwar lässt sich ein solcher Angriff nicht immer vermeiden, Sie können aber zahlreiche (präventive) Maßnahmen ergreifen, um das Risiko zu verringern.
Angriffsoberfläche kennen, blinde Flecken ausmerzen: Zu wissen, aus welchen (potenziellen) Schwachstellen sich die eigene Angriffsoberfläche zusammensetzt, ist Gold wert. Es lohnt sich, eine Liste mit allen relevanten Komponenten zusammenzustellen – einschließlich aller Geräte und Anwendungen, die sich mit dem Netzwerk verbinden, Zugang zum Internet haben und/oder für das Management sensibler Daten verwendet werden.
Auf der Suche nach Schwachstellen dürfen auch die sogenannten blinden Flecken im Unternehmensnetzwerk nicht vernachlässigt werden. Dabei handelt es sich um Bereiche, die von herkömmlichen Sicherheits-Tools nicht erfasst werden. Cyber-Kriminelle nutzen sie, um entweder sich oder Malware unentdeckt in ein Netzwerk zu schleusen. Dazu zählen unter anderem verschlüsselter Datenverkehr und Ost-West-Traffic. Eine Deep-Observability-Lösung hilft dabei, diese blinden Flecken zu finden und sichtbar zu machen.
Nutzerverhalten beobachten, Privilegien steuern: Ändert ein Mitarbeiter urplötzlich sein typisches Verhalten im Netzwerk, kann das auf eine Kompromittierung hinweisen – zum Beispiel, wenn er damit beginnt, mit sensiblen Dateien zu interagieren, was er vorher nicht getan hat. Deshalb sollten solche Anomalien ernst genommen werden. Darüber hinaus ist es wichtig, Netzwerkprivilegien regelmäßig zu überprüfen und anzupassen. Grundsätzlich sollten nur eingeschränkte Zugangserlaubnisse vergeben werden. Lediglich Mitarbeiter, die sie für ihre Tätigkeit brauchen, bekommen erweiterte Privilegien zu sensibleren Ressourcen.
Proaktiv auf Bedrohungsjagd gehen: Laterale Netzwerkbewegung ist auf langfristige Unauffälligkeit ausgelegt. Deshalb sollten Sicherheitsteams mithilfe eines entsprechenden Frameworks auf die aktive Suche. Dabei lohnt es sich auch regelmäßig App-Logs zu analysieren, da Löschversuche oder andere Ungereimtheiten Aufschluss auf cyberkriminelle Aktivitäten geben können.